
<!DOCTYPE HTML>
<html lang="" >
    <head>
        <meta charset="UTF-8">
        <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
        <title>Day05-2 · GitBook</title>
        <meta http-equiv="X-UA-Compatible" content="IE=edge" />
        <meta name="description" content="">
        <meta name="generator" content="GitBook 3.2.2">
        
        
        
    
    <link rel="stylesheet" href="gitbook/style.css">

    
            
                
                <link rel="stylesheet" href="gitbook/gitbook-plugin-highlight/website.css">
                
            
                
                <link rel="stylesheet" href="gitbook/gitbook-plugin-search/search.css">
                
            
                
                <link rel="stylesheet" href="gitbook/gitbook-plugin-fontsettings/website.css">
                
            
        

    

    
        
    
        
    
        
    
        
    
        
    
        
    

        
    
    
    <meta name="HandheldFriendly" content="true"/>
    <meta name="viewport" content="width=device-width, initial-scale=1, user-scalable=no">
    <meta name="apple-mobile-web-app-capable" content="yes">
    <meta name="apple-mobile-web-app-status-bar-style" content="black">
    <link rel="apple-touch-icon-precomposed" sizes="152x152" href="gitbook/images/apple-touch-icon-precomposed-152.png">
    <link rel="shortcut icon" href="gitbook/images/favicon.ico" type="image/x-icon">

    
    <link rel="next" href="Day06.html" />
    
    
    <link rel="prev" href="Day05-2.html" />
    

    </head>
    <body>
        
<div class="book">
    <div class="book-summary">
        
            
<div id="book-search-input" role="search">
    <input type="text" placeholder="Type to search" />
</div>

            
                <nav role="navigation">
                


<ul class="summary">
    
    

    

    
        
        
    
        <li class="chapter " data-level="1.1" data-path="./">
            
                <a href="./">
            
                    
                    Introduction
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.2" data-path="Day01.html">
            
                <a href="Day01.html">
            
                    
                    Day01
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.3" data-path="Day02.html">
            
                <a href="Day02.html">
            
                    
                    Day02
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.4" data-path="Day03.html">
            
                <a href="Day03.html">
            
                    
                    Day03
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.5" data-path="Day04-1.html">
            
                <a href="Day04-1.html">
            
                    
                    Day04-1
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.6" data-path="Day04-2.html">
            
                <a href="Day04-2.html">
            
                    
                    Day04-2
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.7" data-path="Day05-2.html">
            
                <a href="Day05-2.html">
            
                    
                    Day05-1
            
                </a>
            

            
        </li>
    
        <li class="chapter active" data-level="1.8" data-path="Day05-1.html">
            
                <a href="Day05-1.html">
            
                    
                    Day05-2
            
                </a>
            

            
        </li>
    
        <li class="chapter " data-level="1.9" data-path="Day06.html">
            
                <a href="Day06.html">
            
                    
                    Day06
            
                </a>
            

            
        </li>
    

    

    <li class="divider"></li>

    <li>
        <a href="https://www.gitbook.com" target="blank" class="gitbook-link">
            Published with GitBook
        </a>
    </li>
</ul>


                </nav>
            
        
    </div>

    <div class="book-body">
        
            <div class="body-inner">
                
                    

<div class="book-header" role="navigation">
    

    <!-- Title -->
    <h1>
        <i class="fa fa-circle-o-notch fa-spin"></i>
        <a href="." >Day05-2</a>
    </h1>
</div>




                    <div class="page-wrapper" tabindex="-1" role="main">
                        <div class="page-inner">
                            
<div id="book-search-results">
    <div class="search-noresults">
    
                                <section class="normal markdown-section">
                                
                                <h1 id="day04-iptables-&#x7B14;&#x8BB0;">Day04-iptables &#x7B14;&#x8BB0;</h1>
<p>Date: <code>2017&#x5E74;6&#x6708;17&#x65E5;</code>
Author: <code>MF.&#x8D3E;</code>
Env&#xFF1A;<code>centos6.9-x86_64</code></p>
<p>[TOC]</p>
<h2 id="iptables-&#x7B80;&#x4ECB;">iptables &#x7B80;&#x4ECB;</h2>
<p>iptables&#x7684;&#x524D;&#x8EAB;&#x53EB;ipfirewall &#xFF08;&#x5185;&#x6838;1.x&#x65F6;&#x4EE3;&#xFF09;,&#x8FD9;&#x662F;&#x4E00;&#x4E2A;&#x4F5C;&#x8005;&#x4ECE;freeBSD&#x4E0A;&#x79FB;&#x690D;&#x8FC7;&#x6765;&#x7684;&#xFF0C;&#x80FD;&#x591F;&#x5DE5;&#x4F5C;&#x5728;&#x5185;&#x6838;&#x5F53;&#x4E2D;&#x7684;&#xFF0C;&#x5BF9;&#x6570;&#x636E;&#x5305;&#x8FDB;&#x884C;&#x68C0;&#x6D4B;&#x7684;&#x4E00;&#x6B3E;&#x7B80;&#x6613;&#x8BBF;&#x95EE;&#x63A7;&#x5236;&#x5DE5;&#x5177;&#x3002;&#x4F46;&#x662F;ipfirewall&#x5DE5;&#x4F5C;&#x529F;&#x80FD;&#x6781;&#x5176;&#x6709;&#x9650;(&#x5B83;&#x9700;&#x8981;&#x5C06;&#x6240;&#x6709;&#x7684;&#x89C4;&#x5219;&#x90FD;&#x653E;&#x8FDB;&#x5185;&#x6838;&#x5F53;&#x4E2D;&#xFF0C;&#x8FD9;&#x6837;&#x89C4;&#x5219;&#x624D;&#x80FD;&#x591F;&#x8FD0;&#x884C;&#x8D77;&#x6765;&#xFF0C;&#x800C;&#x653E;&#x8FDB;&#x5185;&#x6838;&#xFF0C;&#x8FD9;&#x4E2A;&#x505A;&#x6CD5;&#x4E00;&#x822C;&#x662F;&#x6781;&#x5176;&#x56F0;&#x96BE;&#x7684;)&#x3002;&#x5F53;&#x5185;&#x6838;&#x53D1;&#x5C55;&#x5230;2.x&#x7CFB;&#x5217;&#x7684;&#x65F6;&#x5019;&#xFF0C;&#x8F6F;&#x4EF6;&#x66F4;&#x540D;&#x4E3A;ipchains&#xFF0C;&#x5B83;&#x53EF;&#x4EE5;&#x5B9A;&#x4E49;&#x591A;&#x6761;&#x89C4;&#x5219;&#xFF0C;&#x5C06;&#x4ED6;&#x4EEC;&#x4E32;&#x8D77;&#x6765;&#xFF0C;&#x5171;&#x540C;&#x53D1;&#x6325;&#x4F5C;&#x7528;&#x3002;&#x800C;&#x73B0;&#x5728;&#xFF0C;&#x5B83;&#x53EB;&#x505A;netfilter/iptables&#xFF08;&#x7B80;&#x79F0;iptables&#xFF09;&#xFF0C;&#x53EF;&#x4EE5;&#x5C06;&#x89C4;&#x5219;&#x7EC4;&#x6210;&#x4E00;&#x4E2A;&#x5217;&#x8868;&#xFF0C;&#x5B9E;&#x73B0;&#x7EDD;&#x5BF9;&#x8BE6;&#x7EC6;&#x7684;&#x8BBF;&#x95EE;&#x63A7;&#x5236;&#x529F;&#x80FD;&#x3002;&#x4E0E;&#x5927;&#x591A;&#x6570;&#x7684;Linux&#x8F6F;&#x4EF6;&#x4E00;&#x6837;&#xFF0C;iptables&#x662F;&#x514D;&#x8D39;&#x7684;&#xFF0C;&#x5B83;&#x53EF;&#x4EE5;&#x4EE3;&#x66FF;&#x6602;&#x8D35;&#x7684;&#x5546;&#x4E1A;&#x9632;&#x706B;&#x5899;&#x89E3;&#x51B3;&#x65B9;&#x6848;&#xFF0C;&#x5B8C;&#x6210;&#x5C01;&#x5305;&#x8FC7;&#x6EE4;&#x3001;&#x5C01;&#x5305;&#x91CD;&#x5B9A;&#x5411;&#x548C;&#x7F51;&#x7EDC;&#x5730;&#x5740;&#x8F6C;&#x6362;&#xFF08;NAT&#xFF09;&#x7B49;&#x529F;&#x80FD;&#x3002;</p>
<h2 id="iptables-&#x57FA;&#x7840;">iptables &#x57FA;&#x7840;</h2>
<p>&#x89C4;&#x5219;&#xFF08;rules&#xFF09;&#x5176;&#x5B9E;&#x5C31;&#x662F;&#x7F51;&#x7EDC;&#x7BA1;&#x7406;&#x5458;&#x9884;&#x5B9A;&#x4E49;&#x7684;&#x6761;&#x4EF6;&#xFF0C;&#x89C4;&#x5219;&#x4E00;&#x822C;&#x7684;&#x5B9A;&#x4E49;&#x4E3A;&#x201C;&#x5982;&#x679C;&#x6570;&#x636E;&#x5305;&#x5934;&#x7B26;&#x5408;&#x8FD9;&#x6837;&#x7684;&#x6761;&#x4EF6;&#xFF0C;&#x5C31;&#x8FD9;&#x6837;&#x5904;&#x7406;&#x8FD9;&#x4E2A;&#x6570;&#x636E;&#x5305;&#x201D;&#x3002;&#x89C4;&#x5219;&#x5B58;&#x50A8;&#x5728;&#x5185;&#x6838;&#x7A7A;&#x95F4;&#x7684;&#x4FE1;&#x606F;&#x5305;&#x8FC7;&#x6EE4;&#x8868;&#x4E2D;&#xFF0C;&#x8FD9;&#x4E9B;&#x89C4;&#x5219;&#x5206;&#x522B;&#x6307;&#x5B9A;&#x4E86;&#x6E90;&#x5730;&#x5740;&#x3001;&#x76EE;&#x7684;&#x5730;&#x5740;&#x3001;&#x4F20;&#x8F93;&#x534F;&#x8BAE;&#xFF08;&#x5982;TCP&#x3001;UDP&#x3001;ICMP&#xFF09;&#x548C;&#x670D;&#x52A1;&#x7C7B;&#x578B;&#xFF08;&#x5982;HTTP&#x3001;FTP&#x548C;SMTP&#xFF09;&#x7B49;&#x3002;&#x5F53;&#x6570;&#x636E;&#x5305;&#x4E0E;&#x89C4; &#x5219;&#x5339;&#x914D;&#x65F6;&#xFF0C;iptables&#x5C31;&#x6839;&#x636E;&#x89C4;&#x5219;&#x6240;&#x5B9A;&#x4E49;&#x7684;&#x65B9;&#x6CD5;&#x6765;&#x5904;&#x7406;&#x8FD9;&#x4E9B;&#x6570;&#x636E;&#x5305;&#xFF0C;&#x5982;&#x653E;&#x884C;&#xFF08;accept&#xFF09;&#x3001;&#x62D2;&#x7EDD;&#xFF08;reject&#xFF09;&#x548C;&#x4E22;&#x5F03;&#xFF08;drop&#xFF09;&#x7B49;&#x3002;&#x914D;&#x7F6E;&#x9632;&#x706B;&#x5899;&#x7684; &#x4E3B;&#x8981;&#x5DE5;&#x4F5C;&#x5C31;&#x662F;&#x6DFB;&#x52A0;&#x3001;&#x4FEE;&#x6539;&#x548C;&#x5220;&#x9664;&#x8FD9;&#x4E9B;&#x89C4;&#x5219;&#x3002;</p>
<h2 id="tcpip-&#x56DB;&#x5C42;&#x6A21;&#x578B;">TCP/IP &#x56DB;&#x5C42;&#x6A21;&#x578B;</h2>
<p>TCP/IP&#x662F;&#x4E00;&#x7EC4;&#x7528;&#x4E8E;&#x5B9E;&#x73B0;&#x7F51;&#x7EDC;&#x4E92;&#x8FDE;&#x7684;&#x901A;&#x4FE1;&#x534F;&#x8BAE;&#x3002;Internet&#x7F51;&#x7EDC;&#x4F53;&#x7CFB;&#x7ED3;&#x6784;&#x4EE5;TCP/IP&#x4E3A;&#x6838;&#x5FC3;&#x3002;&#x57FA;&#x4E8E;TCP/IP&#x7684;&#x53C2;&#x8003;&#x6A21;&#x578B;&#x5C06;&#x534F;&#x8BAE;&#x5206;&#x6210;&#x56DB;&#x4E2A;&#x5C42;&#x6B21;:</p>
<table>
<thead>
<tr>
<th style="text-align:left">&#x5C42;</th>
<th style="text-align:left">&#x89E3;&#x91CA;</th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align:left"><strong>&#x5E94;&#x7528;&#x5C42;</strong></td>
<td style="text-align:left">&#x5E94;&#x7528;&#x5C42;&#x5BF9;&#x5E94;&#x4E8E;OSI&#x53C2;&#x8003;&#x6A21;&#x578B;&#x7684;&#x9AD8;&#x5C42;&#xFF0C;&#x4E3A;&#x7528;&#x6237;&#x63D0;&#x4F9B;&#x6240;&#x9700;&#x8981;&#x7684;&#x5404;&#x79CD;&#x670D;&#x52A1;&#xFF0C;&#x4F8B;&#x5982;&#xFF1A;<strong>FTP&#x3001;Telnet&#x3001;DNS&#x3001;SMTP</strong>&#x7B49;.</td>
</tr>
<tr>
<td style="text-align:left"><strong>&#x4F20;&#x8F93;&#x5C42;</strong></td>
<td style="text-align:left">&#x4F20;&#x8F93;&#x5C42;&#x5BF9;&#x5E94;&#x4E8E;OSI&#x53C2;&#x8003;&#x6A21;&#x578B;&#x7684;&#x4F20;&#x8F93;&#x5C42;&#xFF0C;&#x4E3A;&#x5E94;&#x7528;&#x5C42;&#x5B9E;&#x4F53;&#x63D0;&#x4F9B;&#x7AEF;&#x5230;&#x7AEF;&#x7684;&#x901A;&#x4FE1;&#x529F;&#x80FD;&#xFF0C;&#x4FDD;&#x8BC1;&#x4E86;&#x6570;&#x636E;&#x5305;&#x7684;&#x987A;&#x5E8F;&#x4F20;&#x9001;&#x53CA;&#x6570;&#x636E;&#x7684;&#x5B8C;&#x6574;&#x6027;&#x3002;&#x8BE5;&#x5C42;&#x5B9A;&#x4E49;&#x4E86;&#x4E24;&#x4E2A;&#x4E3B;&#x8981;&#x7684;&#x534F;&#x8BAE;&#xFF1A;&#x4F20;&#x8F93;&#x63A7;&#x5236;&#x534F;&#x8BAE;&#xFF08;<strong>TCP</strong>&#xFF09;&#x548C;&#x7528;&#x6237;&#x6570;&#x636E;&#x62A5;&#x534F;&#x8BAE;&#xFF08;<strong>UDP</strong>)&#x3002;TCP&#x534F;&#x8BAE;&#x63D0;&#x4F9B;&#x7684;&#x662F;&#x4E00;&#x79CD;&#x53EF;&#x9760;&#x7684;&#x3001;&#x901A;&#x8FC7;&#x201C;&#x4E09;&#x6B21;&#x63E1;&#x624B;&#x201D;&#x6765;&#x8FDE;&#x63A5;&#x7684;&#x6570;&#x636E;&#x4F20;&#x8F93;&#x670D;&#x52A1;&#xFF1B;&#x800C;UDP&#x534F;&#x8BAE;&#x63D0;&#x4F9B;&#x7684;&#x5219;&#x662F;&#x4E0D;&#x4FDD;&#x8BC1;&#x53EF;&#x9760;&#x7684;&#xFF08;&#x5E76;&#x4E0D;&#x662F;&#x4E0D;&#x53EF;&#x9760;&#xFF09;&#x3001;&#x65E0;&#x8FDE;&#x63A5;&#x7684;&#x6570;&#x636E;&#x4F20;&#x8F93;&#x670D;&#x52A1;&#x3002;</td>
</tr>
<tr>
<td style="text-align:left"><strong>&#x7F51;&#x9645;&#x5C42;</strong></td>
<td style="text-align:left">&#x7F51;&#x9645;&#x4E92;&#x8054;&#x5C42;&#x5BF9;&#x5E94;&#x4E8E;OSI&#x53C2;&#x8003;&#x6A21;&#x578B;&#x7684;&#x7F51;&#x7EDC;&#x5C42;&#xFF0C;&#x4E3B;&#x8981;&#x89E3;&#x51B3;&#x4E3B;&#x673A;&#x5230;&#x4E3B;&#x673A;&#x7684;&#x901A;&#x4FE1;&#x95EE;&#x9898;&#x3002;&#x5B83;&#x6240;&#x5305;&#x542B;&#x7684;&#x534F;&#x8BAE;&#x8BBE;&#x8BA1;&#x6570;&#x636E;&#x5305;&#x5728;&#x6574;&#x4E2A;&#x7F51;&#x7EDC;&#x4E0A;&#x7684;&#x903B;&#x8F91;&#x4F20;&#x8F93;&#x3002;&#x6CE8;&#x91CD;&#x91CD;&#x65B0;&#x8D4B;&#x4E88;&#x4E3B;&#x673A;&#x4E00;&#x4E2A;IP&#x5730;&#x5740;&#x6765;&#x5B8C;&#x6210;&#x5BF9;&#x4E3B;&#x673A;&#x7684;&#x5BFB;&#x5740;&#xFF0C;&#x5B83;&#x8FD8;&#x8D1F;&#x8D23;&#x6570;&#x636E;&#x5305;&#x5728;&#x591A;&#x79CD;&#x7F51;&#x7EDC;&#x4E2D;&#x7684;&#x8DEF;&#x7531;&#x3002;&#x8BE5;&#x5C42;&#x6709;&#x4E09;&#x4E2A;&#x4E3B;&#x8981;&#x534F;&#x8BAE;&#xFF1A;&#x7F51;&#x9645;&#x534F;&#x8BAE;&#xFF08;<strong>IP</strong>&#xFF09;&#x3001;&#x4E92;&#x8054;&#x7F51;&#x7EC4;&#x7BA1;&#x7406;&#x534F;&#x8BAE;&#xFF08;<strong>IGMP</strong>&#xFF09;&#x548C;&#x4E92;&#x8054;&#x7F51;&#x63A7;&#x5236;&#x62A5;&#x6587;&#x534F;&#x8BAE;&#xFF08;<strong>ICMP</strong>&#xFF09;&#x3002;IP&#x534F;&#x8BAE;&#x662F;&#x7F51;&#x9645;&#x4E92;&#x8054;&#x5C42;&#x6700;&#x91CD;&#x8981;&#x7684;&#x534F;&#x8BAE;&#xFF0C;&#x5B83;&#x63D0;&#x4F9B;&#x7684;&#x662F;&#x4E00;&#x4E2A;&#x53EF;&#x9760;&#x3001;&#x65E0;&#x8FDE;&#x63A5;&#x7684;&#x6570;&#x636E;&#x62A5;&#x4F20;&#x9012;&#x670D;&#x52A1;&#x3002;</td>
</tr>
<tr>
<td style="text-align:left"><strong>&#x7F51;&#x7EDC;&#x63A5;&#x5165;&#x5C42;</strong></td>
<td style="text-align:left">&#x7F51;&#x7EDC;&#x63A5;&#x5165;&#x5C42;&#x4E0E;OSI&#x53C2;&#x8003;&#x6A21;&#x578B;&#x4E2D;&#x7684;&#x7269;&#x7406;&#x5C42;&#x548C;&#x6570;&#x636E;&#x94FE;&#x8DEF;&#x5C42;&#x76F8;&#x5BF9;&#x5E94;&#x3002;&#x5B83;&#x8D1F;&#x8D23;&#x76D1;&#x89C6;&#x6570;&#x636E;&#x5728;&#x4E3B;&#x673A;&#x548C;&#x7F51;&#x7EDC;&#x4E4B;&#x95F4;&#x7684;&#x4EA4;&#x6362;&#x3002;&#x4E8B;&#x5B9E;&#x4E0A;&#xFF0C;TCP/IP&#x672C;&#x8EAB;&#x5E76;&#x672A;&#x5B9A;&#x4E49;&#x8BE5;&#x5C42;&#x7684;&#x534F;&#x8BAE;&#xFF0C;&#x800C;&#x7531;&#x53C2;&#x4E0E;&#x4E92;&#x8FDE;&#x7684;&#x5404;&#x7F51;&#x7EDC;&#x4F7F;&#x7528;&#x81EA;&#x5DF1;&#x7684;&#x7269;&#x7406;&#x5C42;&#x548C;&#x6570;&#x636E;&#x94FE;&#x8DEF;&#x5C42;&#x534F;&#x8BAE;&#xFF0C;&#x7136;&#x540E;&#x4E0E;TCP/IP&#x7684;&#x7F51;&#x7EDC;&#x63A5;&#x5165;&#x5C42;&#x8FDB;&#x884C;&#x8FDE;&#x63A5;&#x3002;&#x5730;&#x5740;&#x89E3;&#x6790;&#x534F;&#x8BAE;&#xFF08;ARP&#xFF09;&#x5DE5;&#x4F5C;&#x5728;&#x6B64;&#x5C42;&#xFF0C;&#x5373;OSI&#x53C2;&#x8003;&#x6A21;&#x578B;&#x7684;&#x6570;&#x636E;&#x94FE;&#x8DEF;&#x5C42;&#x3002;</td>
</tr>
</tbody>
</table>
<p>TCP/IP&#x56DB;&#x5C42;&#x6A21;&#x578B;&#x548C;OSI&#x4E03;&#x5C42;&#x53C2;&#x8003;&#x6A21;&#x578B;&#x5BF9;&#x5E94;&#xFF1A;
<img src="http://static.oschina.net/uploads/img/201203/09145152_JOkR.gif" alt="img"></p>
<h2 id="iptables-&#x6570;&#x636E;&#x5305;&#x6D41;&#x7A0B;">iptables &#x6570;&#x636E;&#x5305;&#x6D41;&#x7A0B;</h2>
<p><img src="http://life.chinaunix.net/bbsfile/forum/linux/month_0910/20091020_9171df2e7a063d5238c5c972c7UpC0z6.png" alt="img"></p>
<h2 id="netfilter&#x9632;&#x706B;&#x5899;&#x7684;&#x5143;&#x7D20;&#x53CA;&#x5173;&#x7CFB;">netfilter&#x9632;&#x706B;&#x5899;&#x7684;&#x5143;&#x7D20;&#x53CA;&#x5173;&#x7CFB;:</h2>
<p>netfilter==&gt;&#x8868;==&gt;&#x94FE;==&gt;&#x89C4;&#x5219;</p>
<h3 id="&#x4E09;&#x5F20;&#x8868;&#xFF1A;">&#x4E09;&#x5F20;&#x8868;&#xFF1A;</h3>
<p>filter &#x9632;&#x706B;&#x5899;&#x8868;&#xFF0C;&#x5141;&#x8BB8;&#x548C;&#x62D2;&#x7EDD;&#x90FD;&#x5728;&#x8FD9;&#x91CC;&#x5B9E;&#x73B0;
nat &#x5730;&#x5740;&#x8F6C;&#x6362;
mangle &#x6570;&#x636E;&#x5305;&#x6574;&#x5F62;</p>
<h3 id="&#x4E94;&#x6761;&#x94FE;&#xFF1A;">&#x4E94;&#x6761;&#x94FE;&#xFF1A;</h3>
<p>INPUT &#x672C;&#x673A;&#x8FDB;&#x7AD9;&#x7684;&#x6570;&#x636E;&#x6D41;
OUTPUT &#x672C;&#x673A;&#x51FA;&#x7AD9;&#x7684;&#x6570;&#x636E;&#x6D41;
FORWARD &#x8DEF;&#x7531;&#x7684;&#x6570;&#x636E;&#x6D41;
POSTROUTING &#x8DEF;&#x7531;&#x540E;&#x7684;&#x6570;&#x636E;&#x6D41;
PREROUTING &#x8DEF;&#x7531;&#x524D;&#x7684;&#x6570;&#x636E;&#x6D41;</p>
<h3 id="&#x8868;&#x8DDF;&#x94FE;&#x7684;&#x5BF9;&#x5E94;&#x5173;&#x7CFB;&#xFF1A;">&#x8868;&#x8DDF;&#x94FE;&#x7684;&#x5BF9;&#x5E94;&#x5173;&#x7CFB;&#xFF1A;</h3>
<p>filter: INPUT, OUTPUT, FORWARD
nat: OUTPUT, PREROUTING, POSTROUTING
mangle: INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING</p>
<h3 id="&#x56DB;&#x79CD;&#x6570;&#x636E;&#x6D41;&#xFF1A;">&#x56DB;&#x79CD;&#x6570;&#x636E;&#x6D41;&#xFF1A;</h3>
<ol>
<li>&#x672C;&#x673A;&#x8FDB;&#x7AD9;&#x7684;&#x6570;&#x636E;&#x6D41;&#xFF1A;remote--packet--ethX--PREROUTING--INPUT--&#x672C;&#x673A;</li>
<li>&#x672C;&#x673A;&#x51FA;&#x7AD9;&#x7684;&#x6570;&#x636E;&#x6D41;&#xFF1A;&#x672C;&#x673A;--packet--OUTPUT--POSTROUTING--ethX--destination</li>
<li>&#x8DEF;&#x7531;&#x7684;&#x6570;&#x636E;&#x6D41;&#xFF1A;
&#x51FA;&#x53BB;&#xFF1A; packet--eth0--PREROUTING--FORWARD--POSTROUTING--eth1--destination
&#x56DE;&#x6765;&#xFF1A; packet--eth1--PREROUTING--FORWARD--POSTROUTING--eth0--destination</li>
<li>&#x672C;&#x673A;&#x8BBF;&#x95EE;&#x672C;&#x673A;&#xFF1A;
&#x672C;&#x673A;--packet--lo--PREROUTING--INPUT--&#x672C;&#x673A;
&#x672C;&#x673A;--packet--OUTPUT--POSTROUTING--lo--&#x672C;&#x673A;</li>
</ol>
<h3 id="&#x8868;&#x7684;&#x5339;&#x914D;&#x987A;&#x5E8F;">&#x8868;&#x7684;&#x5339;&#x914D;&#x987A;&#x5E8F;:</h3>
<p>mangle--nat--filter</p>
<h3 id="&#x89C4;&#x5219;&#x5339;&#x914D;&#x987A;&#x5E8F;">&#x89C4;&#x5219;&#x5339;&#x914D;&#x987A;&#x5E8F;:</h3>
<ol>
<li>&#x6309;&#x987A;&#x5E8F;&#x5339;&#x914D;,&#x5982;&#x679C;&#x7B2C;&#x4E00;&#x6761;&#x5339;&#x914D;&#x5230;&#x4E86;&#x5C31;&#x76F4;&#x63A5;&#x6267;&#x884C;&#x8FD9;&#x6761;&#x89C4;&#x5219;&#x7684;&#x52A8;&#x4F5C;,&#x4E0D;&#x5F80;&#x4E0B;&#x5339;&#x914D;&#x5176;&#x5B83;&#x89C4;&#x5219;.  </li>
<li>&#x5982;&#x679C;&#x7B2C;&#x4E00;&#x6761;&#x5339;&#x914D;&#x4E0D;&#x5230;,&#x7B2C;&#x4E8C;&#x6761;&#x4E5F;&#x5339;&#x914D;&#x4E0D;&#x5230;,&#x7EE7;&#x7EED;&#x5F80;&#x4E0B;&#x5339;&#x914D;&#x76F4;&#x5230;&#x627E;&#x5230;&#x5339;&#x914D;&#x7684;&#x89C4;&#x5219;,&#x5982;&#x679C;&#x627E;&#x4E0D;&#x5230;&#x5339;&#x914D;&#x9ED8;&#x8BA4;&#x89C4;&#x5219;.</li>
</ol>
<h2 id="iptables&#x64CD;&#x4F5C;&#x547D;&#x4EE4;">iptables&#x64CD;&#x4F5C;&#x547D;&#x4EE4;</h2>
<pre><code class="lang-shell">iptables --help
Usage: iptables -[AD] chain rule-specification [options]
       iptables -[RI] chain rulenum rule-specification [options]
       iptables -D chain rulenum [options]
       iptables -[LFZ] [chain] [options]
       iptables -[NX] chain
       iptables -E old-chain-name new-chain-name
       iptables -P chain target [options]
       iptables -h (print this help information)

  --append  -A chain            &#x8FFD;&#x52A0;&#x89C4;&#x5219;
  --delete  -D chain            &#x5220;&#x9664;&#x89C4;&#x5219;
  --delete  -D chain rulenum    &#x5220;&#x9664;&#x6307;&#x5B9A;&#x5E8F;&#x53F7;&#x7684;&#x89C4;&#x5219;

  --insert  -I chain [rulenum]  &#x63D2;&#x5165;&#x4E00;&#x6761;&#x89C4;&#x5219;(default 1=first) &#x63D2;&#x5165;&#x4F1A;&#x63D2;&#x5165;&#x8868;&#x7684;&#x7B2C;&#x4E00;&#x884C;
  --replace -R chain rulenum    &#x66FF;&#x6362;&#x4E00;&#x6761;&#x89C4;&#x5219;

  --list    -L [chain]          &#x663E;&#x793A;&#x51FA;&#x94FE;&#x6216;&#x8005;&#x94FE;&#x4E2D;&#x7684;&#x89C4;&#x5219;
  --flush   -F [chain]          &#x5728;&#x4E00;&#x4E2A;&#x94FE;&#x6216;&#x8005;&#x6240;&#x6709;&#x94FE;&#x4E2D;&#x6E05;&#x7A7A;&#x89C4;&#x5219;
  --zero    -Z [chain]          &#x6E05;&#x7A7A;&#x8BA1;&#x6570;
  --new     -N chain            &#x521B;&#x5EFA;&#x7528;&#x6237;&#x81EA;&#x5B9A;&#x4E49;&#x94FE;
  --delete-chain
            -X [chain]          &#x5220;&#x9664;&#x7528;&#x6237;&#x81EA;&#x5B9A;&#x4E49;&#x94FE;
  --policy  -P chain target     &#x6307;&#x5B9A;&#x9ED8;&#x8BA4;&#x89C4;&#x5219;
                                Change policy on chain to target
  --rename-chain
            -E old-chain new-chain
                                     &#x91CD;&#x547D;&#x540D;&#x7528;&#x6237;&#x81EA;&#x5B9A;&#x4E49;&#x94FE;
Options:
  --proto       -p [!] proto    &#x6307;&#x5B9A;&#x534F;&#x8BAE;,!&#x4EE3;&#x8868;&#x53D6;&#x53CD;
  --source      -s [!] address[/mask]   --&#x6307;&#x5B9A;&#x6E90;&#x5730;&#x5740;
                                source specification
  --destination -d [!] address[/mask]   --&#x6307;&#x5B9A;&#x76EE;&#x6807;&#x5730;&#x5740;
                                destination specification
  --in-interface -i [!] input name[+]   --&#x6307;&#x5B9A;&#x6570;&#x636E;&#x4ECE;&#x54EA;&#x4E2A;&#x7F51;&#x53E3;&#x8FDB;&#x6765;
                                network interface name ([+] for wildcard)
  --jump        -j target                       --&#x5339;&#x914D;&#x52A8;&#x4F5C;
                                target for rule (may load target extension)
  --goto      -g chain
                              jump to chain with no return
  --match       -m match                        --&#x6269;&#x5C55;&#x5339;&#x914D;
                                extended match (may load extension)
  --numeric     -n              --&#x7AEF;&#x53E3;&#x548C;IP&#x4EE5;&#x6570;&#x503C;&#x65B9;&#x5F0F;&#x663E;&#x793A;,&#x4E0D;&#x4F5C;&#x53CD;&#x89E3;
  --out-interface -o [!] output name[+] --&#x6307;&#x5B9A;&#x6570;&#x636E;&#x4ECE;&#x54EA;&#x4E2A;&#x7F51;&#x53E3;&#x51FA;&#x53BB;
                                network interface name ([+] for wildcard)
  --table       -t table        --&#x6307;&#x5B9A;&#x4F7F;&#x7528;&#x54EA;&#x4E2A;&#x8868; (default: `filter&apos;)
  --verbose     -v              --&#x663E;&#x793A;&#x8BE6;&#x7EC6;&#x4FE1;&#x606F;
  --line-numbers                --&#x663E;&#x793A;&#x89C4;&#x5219;&#x7684;&#x5E8F;&#x53F7;
  --exact       -x              expand numbers (display exact values)
</code></pre>
<ul>
<li>&#x67E5;&#x770B;<pre><code># iptables -t nat -L -n -v --line
# iptables -t filter -L -n
# iptables -t filter -L INPUT
# iptables -t filter -L INPUT -v -n
# iptables -t filter -L INPUT -n -v --line
# watch -n 0.1 iptables -L INPUT --line -n -v
iptables -nv -L
</code></pre></li>
<li>&#x8FFD;&#x52A0; &#x63D2;&#x5165; &#x66FF;&#x6362; &#x5220;&#x9664;
```
&#x8FFD;&#x52A0;&#x89C4;&#x5219;&#xFF1A;<h1 id="iptables--t-filter--a-input--i-lo--j-accept">iptables -t filter -A INPUT -i lo -j ACCEPT</h1>
</li>
</ul>
<p>&#x63D2;&#x5165;&#x89C4;&#x5219;&#xFF1A;</p>
<h1 id="iptables--t-filter--i-input--i-eth0--j-accept--------&#xFF0D;&#xFF0D;&#x63D2;&#x5165;&#x6210;&#x4E3A;&#x7B2C;&#x4E00;&#x6761;">iptables -t filter -I INPUT -i eth0 -j ACCEPT        &#xFF0D;&#xFF0D;&#x63D2;&#x5165;&#x6210;&#x4E3A;&#x7B2C;&#x4E00;&#x6761;</h1>
<h1 id="iptables--t-filter--i-input-3--i-eth0--j-accept--------&#xFF0D;&#xFF0D;&#x63D2;&#x5165;&#x6210;&#x4E3A;&#x7B2C;&#x4E09;&#x6761;&#x89C4;&#x5219;">iptables -t filter -I INPUT 3 -i eth0 -j ACCEPT        &#xFF0D;&#xFF0D;&#x63D2;&#x5165;&#x6210;&#x4E3A;&#x7B2C;&#x4E09;&#x6761;&#x89C4;&#x5219;</h1>
<p>&#x66FF;&#x6362;&#x89C4;&#x5219;&#xFF1A;</p>
<h1 id="iptables--t-filter--r-input-3--i-eth1--j-accept--------&#xFF0D;&#xFF0D;&#x66FF;&#x6362;&#x6210;&#x4E3A;&#x6307;&#x5B9A;&#x89C4;&#x5219;">iptables -t filter -R INPUT 3 -i eth1 -j ACCEPT        &#xFF0D;&#xFF0D;&#x66FF;&#x6362;&#x6210;&#x4E3A;&#x6307;&#x5B9A;&#x89C4;&#x5219;</h1>
<p>&#x5220;&#x9664;&#x89C4;&#x5219;&#xFF1A;</p>
<h1 id="iptables--t-filter--d-input-2--------------------&#xFF0D;&#xFF0D;&#x5220;&#x9664;&#x6307;&#x5B9A;&#x94FE;&#x6307;&#x5B9A;&#x7F16;&#x53F7;&#x7684;&#x89C4;&#x5219;">iptables -t filter -D INPUT 2                    &#xFF0D;&#xFF0D;&#x5220;&#x9664;&#x6307;&#x5B9A;&#x94FE;&#x6307;&#x5B9A;&#x7F16;&#x53F7;&#x7684;&#x89C4;&#x5219;</h1>
<p>+++++++++++</p>
<h1 id="iptables--t-filter--a-input--i-lo--j-accept">iptables -t filter -A INPUT -i lo -j ACCEPT</h1>
<h1 id="iptables--t-filter--a-output--o-lo--j-accept">iptables -t filter -A OUTPUT -o lo -j ACCEPT</h1>
<h1 id="iptables--t-filter--a-input--i-eth0--s-1921680024--d-1921680250--j-accept">iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.250 -j ACCEPT</h1>
<h1 id="iptables--t-filter--a-input--i-eth1--j-accept">iptables -t filter -A INPUT -i eth1 -j ACCEPT</h1>
<h1 id="iptables--l-input--n---line--v">iptables -L INPUT -n --line -v</h1>
<h1 id="iptables--t-filer--i-input-2--i-eth2--j-accept---&#x63D2;&#x5165;&#x9ED8;&#x8BA4;&#x7B2C;&#x4E8C;&#x6761;">iptables -t filer -I INPUT 2 -i eth2 -j ACCEPT   &#x63D2;&#x5165;&#x9ED8;&#x8BA4;&#x7B2C;&#x4E8C;&#x6761;</h1>
<h1 id="iptables--t-filter--i-input---i-eth3--j-accept----&#x63D2;&#x5165;&#x9ED8;&#x8BA4;&#x7B2C;&#x4E00;&#x6761;">iptables -t filter -I INPUT  -i eth3 -j ACCEPT    &#x63D2;&#x5165;&#x9ED8;&#x8BA4;&#x7B2C;&#x4E00;&#x6761;</h1>
<h1 id="iptables--t-filter--r-input-1--i-eth4--j-accept--&#x66FF;&#x6362;&#x9ED8;&#x8BA4;&#x7B2C;&#x4E00;&#x6761;">iptables -t filter -R INPUT 1 -i eth4 -j ACCEPT  &#x66FF;&#x6362;&#x9ED8;&#x8BA4;&#x7B2C;&#x4E00;&#x6761;</h1>
<h1 id="iptables--t-filter--d-input-1--------------------&#x5220;&#x9664;&#x9ED8;&#x8BA4;&#x7B2C;&#x4E00;&#x6761;">iptables -t filter -D INPUT 1                    &#x5220;&#x9664;&#x9ED8;&#x8BA4;&#x7B2C;&#x4E00;&#x6761;</h1>
<h1 id="iptables--t-filter--f-input--------------------&#x6E05;&#x7A7A;filter&#x6240;&#x6709;input&#x94FE;">iptables -t filter -F INPUT                    &#x6E05;&#x7A7A;filter&#x6240;&#x6709;INPUT&#x94FE;</h1>
<h1 id="iptables--t-filter--f">iptables -t filter -F</h1>
<h1 id="iptables--l-input--n---line--v">iptables -L INPUT -n --line -v</h1>
<p>&#x7A7A;&#x89C4;&#x5219;&#xFF1A;
    1&#x3001;&#x6E05;&#x7A7A;&#x4E00;&#x5F20;&#x8868;</p>
<h1 id="iptables--t-filter--f">iptables -t filter -F</h1>
<p>&#x6CE8;&#x610F;&#x4E0D;&#x4F1A;&#x6E05;&#x9664;&#x9ED8;&#x8BA4;&#x89C4;&#x5219;</p>
<pre><code>2&#x3001;&#x6E05;&#x7A7A;&#x4E00;&#x6761;&#x94FE;&#x4E2D;&#x7684;&#x89C4;&#x5219;
</code></pre><h1 id="iptables--t-filter--f-input">iptables -t filter -F INPUT</h1>
<p>&#x65B0;&#x5EFA;/&#x5220;&#x9664;&#x7528;&#x6237;&#x81EA;&#x5B9A;&#x4E49;&#x7684;&#x94FE;&#xFF1A;</p>
<h1 id="iptables--t-filter--n-uplooking----&#x65B0;&#x5EFA;">iptables -t filter -N uplooking    &#x65B0;&#x5EFA;</h1>
<h1 id="iptables--t-filter--x-uplooking--------&#x5220;&#x9664;">iptables -t filter -X uplooking        &#x5220;&#x9664;</h1>
<h1 id="iptables--t-filter--x----------------&#x6E05;&#x7A7A;filter&#x8868;&#x4E2D;&#x6240;&#x6709;&#x7528;&#x6237;&#x81EA;&#x5B9A;&#x4E49;&#x94FE;">iptables -t filter -X                &#x6E05;&#x7A7A;filter&#x8868;&#x4E2D;&#x6240;&#x6709;&#x7528;&#x6237;&#x81EA;&#x5B9A;&#x4E49;&#x94FE;</h1>
<p>+++++++++
iptables -t filter -N TCP
iptables -t filter -N UDP
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -p tcp -j TCP
++++++++
&#x66F4;&#x6539;&#x9ED8;&#x8BA4;&#x89C4;&#x5219;&#xFF1A;</p>
<h1 id="iptables--t-filter--p-input-accept">iptables -t filter -P INPUT ACCEPT</h1>
<h1 id="iptables--t-filter--p-input-drop">iptables -t filter -P INPUT DROP</h1>
<p>```</p>
<h2 id="tcpdump-&#x6293;&#x5305;&#x5DE5;&#x5177;">tcpdump &#x6293;&#x5305;&#x5DE5;&#x5177;</h2>
<p>tcpdump -i eth0<br>tcpdump -i eth0 -vnn<br>-v&#xFF1A;&#x663E;&#x793A;&#x5305;&#x542B;&#x6709;TTL&#xFF0C;TOS&#x503C;&#x7B49;&#x7B49;&#x66F4;&#x8BE6;&#x7EC6;&#x7684;&#x4FE1;&#x606F;<br>-n&#xFF1A;&#x4E0D;&#x8981;&#x505A;IP&#x89E3;&#x6790;&#x4E3A;&#x4E3B;&#x673A;&#x540D;<br>-nn&#xFF1A;&#x4E0D;&#x505A;&#x540D;&#x5B57;&#x89E3;&#x6790;&#x548C;&#x7AEF;&#x53E3;&#x89E3;&#x6790;<br>&#x66F4;&#x6709;&#x9488;&#x5BF9;&#x6027;&#x7684;&#x6293;&#x5305;&#xFF1A;<br>&#x9488;&#x5BF9;IP&#xFF0C;&#x7F51;&#x6BB5;&#xFF0C;&#x7AEF;&#x53E3;&#xFF0C;&#x534F;&#x8BAE;<br>tcpdump -n -i eth0 -vnn host 192.168.0.154 --&#x4E3B;&#x673A;&#x5730;&#x5740;&#x91CC;&#x8FB9;&#x53EA;&#x8981;&#x5305;&#x542B;&#x5730;&#x5740;&#x6709;&#xFF1A;192.168.0.154<br>tcpdump -i eth0 -vnn net 192.168.0.0 /24 --&#x6293;&#x53D6;&#x4E00;&#x4E2A;&#x7F51;&#x6BB5;&#x6570;&#x636E;&#x5305;<br>tcpdump -i eth0 -vnn port 22<br>tcpdump -i eth0 -vnn udp<br>tcpdump -i eth0 -vnn icmp ping<br>tcpdump -i eth0 -vnn arp<br>tcpdump -i eth0 -vnn ip<br>tcpdump -n -i eth0 -vnn src host 192.168.0.154<br>tcpdump -i eth0 -vnn dst host 192.168.0.154<br>tcpdump -i eth0 -vnn src port 22<br>tcpdump -i eth0 -vnn src host 192.168.0.253 and dst port 22<br>tcpdump -i eth0 -vnn src host 192.168.0.154 or port 22<br>tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22  </p>
<p>&#x6293;&#x5305;&#x6700;&#x4E3B;&#x8981;&#x7684;&#x529F;&#x80FD;&#x5728;&#x4E8E;&#x8C03;&#x8BD5;&#xFF0C;&#x6BD4;&#x5982;&#x5728;&#x8C03;&#x8BD5;&#x67D0;&#x4E2A;&#x670D;&#x52A1;&#x7684;&#x65F6;&#x5019; &#x660E;&#x660E;&#x670D;&#x52A1;&#x8D77;&#x6765;&#x4E86; &#x4F46;&#x662F;&#x4E0D;&#x77E5;&#x9053;&#x4E3A;&#x4EC0;&#x4E48;&#x94FE;&#x63A5;&#x4E0D;&#x4E0A; &#x53EF;&#x4EE5;&#x901A;&#x8FC7;&#x6293;&#x5305;&#x5DE5;&#x5177;&#x6765;&#x6D4B;&#x8BD5;&#x770B;&#x770B;&#x8BF7;&#x6C42;&#x5305;&#x6709;&#x6CA1;&#x6709;&#x8FC7;&#x6765;&#x670D;&#x52A1;&#x5668;&#xFF0C;&#x6765;&#x5224;&#x65AD;&#x662F;&#x4F20;&#x8F93;&#x8FC7;&#x7A0B;&#x4E2D;&#x5931;&#x8D25;&#x4E86; &#x8FD8;&#x662F;&#x88AB;&#x670D;&#x52A1;&#x5668;&#x62D2;&#x7EDD;&#x4E86;  </p>

                                
                                </section>
                            
    </div>
    <div class="search-results">
        <div class="has-results">
            
            <h1 class="search-results-title"><span class='search-results-count'></span> results matching "<span class='search-query'></span>"</h1>
            <ul class="search-results-list"></ul>
            
        </div>
        <div class="no-results">
            
            <h1 class="search-results-title">No results matching "<span class='search-query'></span>"</h1>
            
        </div>
    </div>
</div>

                        </div>
                    </div>
                
            </div>

            
                
                <a href="Day05-2.html" class="navigation navigation-prev " aria-label="Previous page: Day05-1">
                    <i class="fa fa-angle-left"></i>
                </a>
                
                
                <a href="Day06.html" class="navigation navigation-next " aria-label="Next page: Day06">
                    <i class="fa fa-angle-right"></i>
                </a>
                
            
        
    </div>

    <script>
        var gitbook = gitbook || [];
        gitbook.push(function() {
            gitbook.page.hasChanged({"page":{"title":"Day05-2","level":"1.8","depth":1,"next":{"title":"Day06","level":"1.9","depth":1,"path":"Day06.md","ref":"Day06.md","articles":[]},"previous":{"title":"Day05-1","level":"1.7","depth":1,"path":"Day05-2.md","ref":"Day05-2.md","articles":[]},"dir":"ltr"},"config":{"gitbook":"*","theme":"default","variables":{},"plugins":["livereload"],"pluginsConfig":{"livereload":{},"highlight":{},"search":{},"lunr":{"maxIndexSize":1000000,"ignoreSpecialCharacters":false},"sharing":{"facebook":true,"twitter":true,"google":false,"weibo":false,"instapaper":false,"vk":false,"all":["facebook","google","twitter","weibo","instapaper"]},"fontsettings":{"theme":"white","family":"sans","size":2},"theme-default":{"styles":{"website":"styles/website.css","pdf":"styles/pdf.css","epub":"styles/epub.css","mobi":"styles/mobi.css","ebook":"styles/ebook.css","print":"styles/print.css"},"showLevel":false}},"structure":{"langs":"LANGS.md","readme":"README.md","glossary":"GLOSSARY.md","summary":"SUMMARY.md"},"pdf":{"pageNumbers":true,"fontSize":12,"fontFamily":"Arial","paperSize":"a4","chapterMark":"pagebreak","pageBreaksBefore":"/","margin":{"right":62,"left":62,"top":56,"bottom":56}},"styles":{"website":"styles/website.css","pdf":"styles/pdf.css","epub":"styles/epub.css","mobi":"styles/mobi.css","ebook":"styles/ebook.css","print":"styles/print.css"}},"file":{"path":"Day05-1.md","mtime":"2017-06-17T10:59:28.000Z","type":"markdown"},"gitbook":{"version":"3.2.2","time":"2017-07-01T15:45:14.694Z"},"basePath":".","book":{"language":""}});
        });
    </script>
</div>

        
    <script src="gitbook/gitbook.js"></script>
    <script src="gitbook/theme.js"></script>
    
        
        <script src="gitbook/gitbook-plugin-livereload/plugin.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-search/search-engine.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-search/search.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-lunr/lunr.min.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-lunr/search-lunr.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-sharing/buttons.js"></script>
        
    
        
        <script src="gitbook/gitbook-plugin-fontsettings/fontsettings.js"></script>
        
    

    </body>
</html>

